! g; t$ F p( f- b3 n网络钓鱼是一个众所周知的普遍问题。网络钓鱼者试图通过各种渠道发送诱饵消息来诱捕他们的猎物,这些渠道包括即时通讯、电子邮件、Twitter、电报、Discord 和被黑网站。如果您浏览垃圾邮件邮箱,您可能会看到数百次企图诱使您泄露密码等信息或窃取您的钱财。 " ?- v$ f6 g6 K# _# ]. |8 I9 u
7 c7 T% ~* S. [% a现在 web3 允许人们直接交易资产,例如代币或NFT,几乎可以立即确定,网络钓鱼活动正在针对其用户。这些攻击是知识或技术专长很少的人通过窃取加密货币来赚钱的最简单方法。即便如此,对于有组织的团体来说,它们仍然是一种有价值的方法来追踪高价值目标,或者对于高级团体来说,通过例如网站接管来发动广泛的、耗尽钱包的攻击。 " g5 o, B' O. N/ X ) l5 L' K" j' P; C举例:; |, y' Q. Z7 R9 ?! a
+ h0 a6 ? f( z* V. r* }7 i% ^4 u o直接针对用户的OpenSea. Y9 G5 J' M5 ^ u7 v
& N- Z9 R: c, l0 c g Y! y网络钓鱼活动4 A e# i- E1 |0 A
. @6 r. O, W# ?; ^
最终包含应用程序的BadgerDAO网络钓鱼攻击 ! M- p7 E" t/ E/ d2 c7 u- G* u, b1 _6 q% t+ u
简要概括:: r" S( W3 G& d# w
^5 P+ D& v: S4 t8 p% g6 C
谁:从脚本小子(script kiddie,以黑客自居的初学者)到有组织的团体的任何人。$ w3 O2 n% X8 p; S% ]
( T# c2 }' Z, N; S6 j1 z0 A' [复杂性:低-中(攻击可以是低质量的“喷雾式”或超针对性的,具体取决于攻击者付出的努力)。' M6 K' m" Y% Y) [
$ N$ {; F& \( f% {. u9 Z! t3 g- ?4 w可自动化性:中等-高(大部分工作可以自动化)。# A3 H4 K8 y. f0 h+ V
8 o" ~, i3 B, X9 ^( T9 H
对未来的期望:网络钓鱼的成本很低,网络钓鱼者往往会适应并绕过最新的防御措施,因此我们预计这些攻击的发生率会上升。可以通过提高教育和意识、更好的过滤、改进的警告横幅和更强大的钱包控制来改进用户防御。 : n7 B3 e6 S6 W" V9 r4 q& l: d 4 C4 v7 o" R/ x1 T& @* S. [供应链漏洞:最薄弱的环节 + U/ x" y) y+ Q" I3 ~' q( w4 ` ]$ T: q$ o- ~; W. c
当汽车制造商发现车辆中的缺陷部件时,他们会发出安全召回;在软件供应链中也不例外。 3 d. G7 C: E2 D3 d7 G1 r: \' h, m: w, W, e
第三方软件库引入了很大的攻击面。在 web3 之前,这一直是跨系统的安全挑战,例如去年 12 月影响广泛的 Web 服务器软件的log4j 漏洞利用。攻击者将扫描互联网以查找已知漏洞,以找到他们可以利用的未修补漏洞。 6 ~* @" P0 T% Z) r8 K" q& n1 F& G
导入的代码可能不是项目方自己的技术团队编写的,但其维护至关重要。团队必须监控其软件组件的漏洞,确保部署更新,并及时了解他们所依赖的项目的发展势头和健康状况。web3 软件漏洞利用的真实和即时成本使得负责任地将这些问题传达给图书馆用户具有挑战性。关于团队如何或在何处以一种不会意外使用户资金面临风险的方式相互交流这些信息的结论仍未确定。 ! e; H0 R: \. J) \, G ]